Java Web —— 第八天(登录功能)

2024-08-25 04:52
文章标签 java 功能 登录 web 第八天

本文主要是介绍Java Web —— 第八天(登录功能),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

基础登录功能

LoginController 类
@RestController //用于处理 HTTP 请求
@Slf4j //记录日志
@RequestMapping("/login")
public class LoginController {@Autowiredprivate EmpService empService;@PostMappingpublic Result login(@RequestBody Emp emp){log.info("登录认证:{}",emp);Emp e = empService.login(emp);return e != null?Result.success():Result.error("用户名或密码错误");}
}
service实现类
     //登录验证@Overridepublic Emp login(Emp emp) {Emp login = empMapper.getByUsernameAndPassword(emp);return login;}
在mapper接口中执行查询操作 
    //登录@Select("select * from emp where username = #{username} and password = #{password}")Emp getByUsernameAndPassword(Emp emp);
错误测试

 正确测试

登录校验

联调测试

问题:在未登录情况下,我们也可以直接访问部门管理、员工管理等功能

登录标记

用户登录成功之后,每一次请求中,都可以获取到该标记

会话技术

会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在

一次会话中可以包含多次请求和响应

会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在

同一次会话的多次请求间共享数据

会话跟踪方案对比

主流方案 

JWT令牌
简介

全称: JSON Web Token (https://jwt.io/)

定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

组成:

第一部分:Header(头),记录令牌类型、签名算法等。例如:["alg":"HS256","type":"WT"]

第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:“id"."1""username":"Tom”

第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定密

钥,通过指定签名算法计算而来。

 

场景:登录认证

登录成功后,生成令牌

后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理

JWT-生成

在pom.xml中导入配置文件

         <dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>
    //生成JWT@Testpublic void testGenJwt(){Map<String, Object> claims = new HashMap<>();claims.put("id",1);claims.put("name","tom");//链式编程String jwt = Jwts.builder().signWith(HS256, "huluya") //签名算法.setClaims(claims) //自定义部分(载荷).setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) //设置JWT令牌的有效期为一个小时.compact();System.out.println(jwt);}
JWT-校验
    //解析JWT@Testpublic void testParseJwt(){Claims claims = Jwts.parser().setSigningKey("huluya").parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcyNDQwNTQzM30.9eYpbPWTyNXeHa7XwlCCCb9S8Rw2fDtbdBcPYkAHYzA").getBody();System.out.println(claims);}
注意事项

JWT校验时使用的签名秘钥,必须和生成WT令牌时使用的秘钥是配套的。

如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,令牌非法

登录-生成令牌

步骤

引入JWT令牌操作工具类

package com.example.utils;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;public class JwtUtils {private static String signKey = "huluya";private static Long expire = 43200000L; //过期时间:12h/*** 生成JWT令牌* @param claims JWT第二部分负载 payload 中存储的内容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() + expire)).compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}

登录完成后,调用工具类生成JWT令牌,并返回

@RestController //用于处理 HTTP 请求
@Slf4j //记录日志
@RequestMapping("/login")
public class LoginController {@Autowiredprivate EmpService empService;@PostMappingpublic Result login(@RequestBody Emp emp){log.info("登录认证:{}",emp);Emp e = empService.login(emp);//登录成功,生成令牌,下发令牌if (e != null){Map<String, Object> claims = new HashMap<>();claims.put("id",e.getId());claims.put("name",e.getName());claims.put("username",e.getUsername());String jwt = JwtUtils.generateJwt(claims); //jwt包含了当前登录的员工信息return Result.success(jwt);}//登录失败,返回错误信息return Result.error("用户名或密码错误");}
}

过滤器Filter

概述

概念: Filter 过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一

过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能

过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等

步骤 Filter快速入门

1.定义Filter: 定义一个类,实现 Filter 接口,并重写其所有方法

2.配置Filter: Filter类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加

@ServletComponentScan 开启Servlet组件支持。

package com.example.filter;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {@Override //初始化方法, 只调用一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init 初始化方法执行了");}@Override //拦截到请求之后调用, 调用多次public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {System.out.println("Demo 拦截到了请求...放行前逻辑");//放行chain.doFilter(request,response);System.out.println("Demo 拦截到了请求...放行后逻辑");}@Override //销毁方法, 只调用一次public void destroy() {System.out.println("destroy 销毁方法执行了");}
}

启动类加上@ServletComponentScan 开启Servlet组件支持

package com.example;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;@ServletComponentScan //开启了对Service组件的支持
@SpringBootApplication
public class SpingbootMybatis3Application {public static void main(String[] args) {SpringApplication.run(SpingbootMybatis3Application.class, args);}
}
Filter执行流程

1.放行代码打上断点

2.在postman发送测试请求

 

3.在登录请求处理类执行下一步

4.由此可见登录通过 返回数据

5. 回到DemoFilter类,给语句打上断点,执行下一步

放行后访问对应资源,资源访问完成后,还会回到Filter中吗? ------

如果回到Filter中,是重新执行还是执行放行后的逻辑呢?------执行放行后逻辑

Filter拦截路径

Filter可以根据需求,配置不同的拦截资源路径

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
过滤器链

介绍:一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链

顺序:注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序

例如:

  在该过滤器链中,ADemo2Filter类先执行

小结

1.执行流程

请求-->放行前逻辑 --> 放行--> 资源--> 放行后逻辑

2.拦截路径

/login

/depts/*

/*

3.过滤器链

一个web应用中,配置了多个过滤器,就形成了一个过滤器链

登录校验Filter

所有的请求,拦截到了之后,都需要校验令牌吗?

有一个例外,登录请求

拦截到请求后,什么情况下才可以放行,执行业务操作?

有令牌,且令牌校验通过 (合法);否则都返回未登录错误结果

登录校验Filter-流程

步骤

获取请求url

判断请求url中是否包含login,如果包含,说明是登录操作,放行

获取请求头中的令牌 (token)

判断令牌是否存在,如果不存在,返回错误结果 (未登录)

解析token,如果解析失败,返回错误结果 (未登录)

放行

示例代码
package com.example.filter;import com.alibaba.fastjson.JSONObject;
import com.example.pojo.Result;
import com.example.utils.JwtUtils;
import com.github.pagehelper.util.StringUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.http.impl.bootstrap.HttpServer;
import org.springframework.util.StringUtils;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @author hyk~*/@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) request; //获取请求参数HttpServletResponse resp = (HttpServletResponse) response; //响应结果//1.获取请求urlString url = req.getRequestURL().toString();log.info("请求的url:{}",url);//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行//contains:该值指示指定的子字符串是否出现在此字符串中if (url.contains("login")){log.info("登录操作,放行...");chain.doFilter(request,response);//登录操作 放行  不足要执行下面的代码 return关闭方法return;}//3.获取请求头中的令牌 (token)String jwt = req.getHeader("token");//4.判断令牌是否存在,如果不存在,返回错误结果 (未登录)//StringUtils.hasLength:用于检查字符串是否不为null且长度大于0if (!StringUtils.hasLength(jwt)){ //字符串没有长度返回false 加上!为true 执行if中的代码log.info("请求头token为空,返回未登录的信息");Result error = Result.error("NOT_LOGIN");//手动转换 对象 ----> json 阿里巴巴fastJSON工具包String jsonString = JSONObject.toJSONString(error);resp.getWriter().write(jsonString);return;}//5.解析token,如果解析失败,返回错误结果 (未登录)try {JwtUtils.parseJWT(jwt);} catch (Exception e) { //jwt解析失败e.printStackTrace();log.info("解析令牌失败,返回未登录错误信息");Result error = Result.error("NOT_LOGIN");//手动转换 对象 ----> json 阿里巴巴fastJSON工具包String jsonString = JSONObject.toJSONString(error);resp.getWriter().write(jsonString);return;}//6.放行log.info("令牌合法,放行");chain.doFilter(request,response);}
}
测试

登录

1.打开测试工具,进行登录请求测试

2.确认为登录操作,放行后结束方法

部门页面

1.在测试工具中请求

2.不是登录操作,继续向下执行

3.确认令牌是否合法,合法放行,不合法则返回错误信息

拦截器Interceptor
概述

概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行

作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码

Interceptor 快速入门

步骤

1.定义拦截器,实现 接口,并重写其所有方法

package com.example.interceptor;import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;/*** @author hyk~*/
@Component //交给IOC容器管理
public class LoginCheckInterceptor implements HandlerInterceptor {@Override //目标资源方法运行前运行,返回true:放行   false:不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle...");return true;}@Override //目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle...");}@Override //视图渲染完毕后运行 最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...");}
}

2.注册拦截器

package com.example.config;import com.example.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;/*** @author hyk~*/@Configuration //配置类
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");}
}

拦截器-拦截路径

拦截器可以根据需求,配置不同的拦截路径

     //addPathPatterns("/**") 需要拦截的资源//excludePathPatterns("/login") 不需要拦截的资源registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");
 
拦截器-执行流程

 测试

 

Filter 与 Interceptor

接口规范不同: 过滤器需要实现Filter接口,而拦截器需要实现Handlerlnterceptor接口。

拦截范围不同:过滤器Filter会拦截所有的资源,而interceptor只会拦截Spring环境中的资源

登录校验Interceptor

步骤

获取请求url

判断请求url中是否包含login,如果包含,说明是登录操作,放行获取请求头中的令牌 (token)

判断令牌是否存在,如果不存在,返回错误结果(未登录)

解析token,如果解析失败,返回错误结果 (未登录)

放行

代码实现

package com.example.interceptor;import com.alibaba.fastjson.JSONObject;
import com.example.pojo.Result;
import com.example.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;/*** @author hyk~*/
@Slf4j
@Component //交给IOC容器管理
public class LoginCheckInterceptor implements HandlerInterceptor {@Override //目标资源方法运行前运行,返回true:放行   false:不放行public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {//1.获取请求urlString url = req.getRequestURL().toString();log.info("请求的url:{}",url);//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行//contains:该值指示指定的子字符串是否出现在此字符串中if (url.contains("login")){log.info("登录操作,放行...");return true;}//3.获取请求头中的令牌 (token)String jwt = req.getHeader("token");//4.判断令牌是否存在,如果不存在,返回错误结果 (未登录)//StringUtils.hasLength:用于检查字符串是否不为null且长度大于0if (!StringUtils.hasLength(jwt)){ //字符串没有长度返回false 加上!为true 执行if中的代码log.info("请求头token为空,返回未登录的信息");Result error = Result.error("NOT_LOGIN");//手动转换 对象 ----> json 阿里巴巴fastJSON工具包String jsonString = JSONObject.toJSONString(error);resp.getWriter().write(jsonString);return false;}//5.解析token,如果解析失败,返回错误结果 (未登录)try {JwtUtils.parseJWT(jwt);} catch (Exception e) { //jwt解析失败e.printStackTrace();log.info("解析令牌失败,返回未登录错误信息");Result error = Result.error("NOT_LOGIN");//手动转换 对象 ----> json 阿里巴巴fastJSON工具包String jsonString = JSONObject.toJSONString(error);resp.getWriter().write(jsonString);return false;}//6.放行log.info("令牌合法,放行");return true;}@Override //目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle...");}@Override //视图渲染完毕后运行 最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...");}
}
异常处理

出现异常,该如何处理?(在部门管理界面,添加重复名字的部门,会在控制台输出报错信息,因为部门name是要求唯一的)

方案一: 在Controller的方法中进行try...catch处理 代码臃肿,不推荐

方案二:全局异常处理器 推荐

全局异常处理器

代码实现
package com.example.exception;import com.example.pojo.Result;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.RestControllerAdvice;/*** @author hyk~* 全局异常处理器*/@RestControllerAdvice
public class GlobalExceptionHandler {@ExceptionHandler(Exception.class) //捕获所以的异常public Result ex(Exception exception){exception.printStackTrace();return Result.error("对不起,操作失败,请联系管理员");}}
测试

1.全局异常处理器

@RestControllerAdxice

@ExceptionHandler 

这篇关于Java Web —— 第八天(登录功能)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1104599

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

C++11第三弹:lambda表达式 | 新的类功能 | 模板的可变参数

🌈个人主页: 南桥几晴秋 🌈C++专栏: 南桥谈C++ 🌈C语言专栏: C语言学习系列 🌈Linux学习专栏: 南桥谈Linux 🌈数据结构学习专栏: 数据结构杂谈 🌈数据库学习专栏: 南桥谈MySQL 🌈Qt学习专栏: 南桥谈Qt 🌈菜鸡代码练习: 练习随想记录 🌈git学习: 南桥谈Git 🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈�